Dit is de paranoide cocktail van beveiliging, maar wel een hele goede als je het goed op elkaar kan laten aansluiten.
Je zou opensnitch erbij kunnen proberen samen met een een andere firewall boven iptables.
Ook zou ik je Linux-distro hardenen

Ik niet. Lijkt mij ook niet verstandig, want die zitten elkaar in de weg. Er bestaat zoiets al te veel van het goede.

Wat heb jij allemaal dan draaien?

Selinux is de beste aan die heb je genoeg en de andere zijn niet echt nodig dan, ik snap niet waarom Ubuntu apparmor gebruikt ipv. Selinux.

Draaide altijd grsecurity + SELinux met Gentoo.
Helaas is grsecurity alleen voor betaalde klanten geworden.
Maar je kan zeker grsecurity en SELinux gebruiken of AppArmor met grsecurity.

Gebruik je ook nog andere security tools?

SELinux is ontwikkeld voor de infrastructuur van, bijvoorbeeld, een geheime dienst of een wereld omspannende enterprice omgeving, waarin geisoleerde VPNs en dedicated thin clients met een sterke formele hierarchie domineren.

AppArmor is meer geschikt voor server doeleinden van het midden- en kleinbedrijf of de desktop omgeving van de gewone eindgebruiker. De documentatie van AppArmor is dan ook een stuk begrijpelijker van SELinux :-)

Een kwestie van schaalgrootte en de belangen die op het spel staan. Maar dat belet mij niet om SELinux, in plaats van AppArmor, onder Debian of Ubuntu te implementeren, mocht dat zo uit komen.

Dus dan verwijder jij AppArmor en installeer jij Selinux?
Is Selinux ook handig voor de desktop omgeving? Ik zie namelijk Centos wel voor Selinux kiezen en Ubuntu of Debian nadrukkelijk voor AppArmor.

AppArmor is makkelijker to configureren.
SELinux blinkt uit als je echt een heel systeem wilt dicht timmeren maar vergt ook veel tijd.
Fedora en CentOS gebruiken een configuratie waarbij alleen bepaalde applicaties confined zijn en de rest dus in het unconfined domain zit en alles kan doen wat ze maar willen.

Er staat geen doel bij waarvoor deze beveiliging nodig is...

Is het niet allemaal beetje teveel van het goede voor een "huis, tuin en keuken pc'tje?"
Oftewel beetje tekstverwerker, email en internet PC.

Of heeft deze PC een compleet andere doel waarvoor je extra beveiliging bovenop (de meeste mensen zeggen) al veilig systeem?

Hoeveel energie steek je erin voor wat je ervoor terugkrijgt...

Ik ben meerdere malen aangevallen(zoveilig is het dus niet) via mijn ubuntu en Kali distro en wil mijn laptop beter beveiligen.
Wat is op de laptop doe is geheim.

Op de website van Redhat zie ik dat ze over Selinux het volgende zeggen:
However, SELinux is not:

antivirus software,
a replacement for passwords, firewalls, or other security systems,
an all-in-one security solution.


Waar doelen ze op met or other security systems?

Ik hoop dat OpenBSD Pledge ook een intrede gaat doen in de linux applicaties.
Pledge is andersom qua beveiliging dan SELinux.

Bij Pledge reduceer de app zijn systemcalls na de initialisatie/openen van zijn files.
SELinux reduceer de app zijn speelruimte.

Ik denk dat deze elkaar goed kunnen aanvullen.

Linux heeft al seccomp dus een nieuw systeem toevoegen zit er niet in waarschijnlijk.

Selinux is niets meer dan Policybeheer en het vergt veel tijd het is wel iets beter dan AppArmor.
AppArmor is standaard al aan bij Ubuntu en geconfigureerd en ik vraag mij af wat het uberhaut doet (als je geen wijzigen aanbrengt).

Is OpenBSD Pledge niet een soort van SandBox functie maar dan in terms of security?

Geen idee. Dat kan van alles zijn.

Dat zou bijvoorbeeld de afgegeven ID-badge voor je schoonmoeder kunnen zijn -- en het poortje met de metaaldetector, waar ze door heen moet --, als ze je bij je werk of bij de penitentiaire inrichting mocht komen bezoeken.

Hoe bedoel je aangevallen?
Hoe kan dit nou? Ik lees altijd dat Linux waar Ubuntu op gebaseerd is van de grond af aan veilig is opgebouwd, in vergelijking met Windows. Zo vaak wordt Windows hierover afgebrand is deze forums.
Windows kan ik ook dichttimmeren met extra beveiliginslagen.

Gegeven voldoende tijd, schier onuitputtelijke middelen en een doorwrochte strategie, bezwijkt vroeg of laat iedere vesting. Dat was ver voor de jaartelling al zo en sindsdiens is daar niets aan veranderd.

De beste verdediging is daarom gelaagd en past zich steeds aan de omstandigheden aan.

Elke OS kan worden gehacked. Het kan veiliger zijn maar betekent niet hackproof, je hebt meerdere lagen van verdediging nodig en je moet blijven monitoren want simpel op je verdediging vertrouwen is ook naief.
Windows kan je inderdaad goed dichttimmeren(naar mijn mening beter dan Linux) omdat het heel gedetaileerde mogelijkheden heeft voor het management van de OS en de services, Firewall en is het allemaal ook gebruiksvriendelijker omdat dit in een OS zit.

Ik vrees dat je de plank met deze opmerking flink misslaat....
Windows instellen kost enorm veel tijd, en bovendien praat Windows altijd (wat je ook probeert) met de buitenwereld

Dat laatste kan je gewoon met een simpele app als blokkeren.
https://www.henrypp.org/product/simplewall
Het kan ook zonder deze app, maar dan moet je hetzelf doen en als je Windows Enterprise hebt dan kan je enorm veel aanpassen.

Wat kost volgens jou veel tijd om in te stellen op Windows vergeleken met Linux?
(Ook heeft Linux niet de GUI dat Windows zo gemakkelijk maakt, maar ben benieuwd naar jouw antwoord).

Windows instellen kost veel tijd?
Er zijn kant en klare Microsoft Security Baselines, zijn zo geimporteerd. Kan ik sneller dan met Linux.
Bij Linux zie ik altijd hele workarounds/commandlines/"verschillende meningen"/omslachtigheden om iets voor elkaar te krijgen, waar Windows een kant en klare oplossing heeft. (niet dat het resultaat in Linux slecht is, want werkt wel goed, alleen om het doel te bereiken lastig is, zeker voor gemiddelde computer gebruikers).

Hoe oneens ik er ook mee ben, moet je helaas wel leven met de situatie dat systemen met de buitenwereld praten, welke systemen doen dit nu niet? handjevol… Alle IoT (tv's, smartboxes, speelgoed, thermostaten,etc), game consoles, smartphones, etc praat allemaal met de buitenwereld…. Wie heeft er geen Android en/of iPhone?
Echt alles praat met de buitenwereld, maar schijnt voor vele op forums alleen een probleem te zijn i.c.m. Windows.

Vaak hoor de reden dat bij een PC dit blijkbaar een "no go" is... Maar waarom wel accepteren bij een Smartphone? Daar zou ik het liever ook niet hebben. Als je een telefoon koopt zonder apps te installeren praat deze ook al met de buitenwereld. Elk OS praat al met de buitenwereld, ook al is het alleen maar om Updates op te halen.

Dat en zoals met alle closed source software is het onmogelijk om dat laatste te controleren (je bent hierbij overgeleverd aan de grillen van de leverancier).

Je kan closed source software gewoon controleren door middel van reverse engineering.
Natuurlijk is het moeilijker dan als je de source code hebt maar het is niet onmogelijk zoals jij zegt.

Je hebt natuurlijk gelijk. Het 'zo goed als' is weggevallen bij het te haastig intikken.

Ik heb Selinux en AppArmor gewoon naast elkaar draaien en werkt prima.
Heb AppArmor de standaard instellingen van Ubuntu laten draaien en heb voor Selinux een tutorial gezocht waarin beschreven is hoe je Selinux het beste kan instellen.

De Beste instellingen voor Selinux is naar mening de configuratie Centos overnemen en de unconfined domain verwijderen.
Je zou Selinux ook gewoon met deze instellingen kunnen draaien zonder AppArmor, maar had geen zin om met de standaard beveiliging te knoeien.

Dan werken heel veel programma's niet als je unconfined domain verwijderd.
Niet alleen verwijderen maar je moet de hele RBAC instellen voor users.

ls -lZ zul je zien of je nog unconfined draait wat ik denk dat nog gewoon gebeurd.

Wat zou er volgens jou dan niet werken?
De hele RBAC instellen lijkt mij een lastige klus, Ik wil dat alleen Firefox en mijn mijn mail programma en Eclipse gebruikt kunnen worden waarvan alleen Firefox en mail toegang tot het internet hebben. Het lijkt mij veel werk om de RBAC zo in te stellen dat alleen deze applicaties gebruikt kunnen worden of valt dat wel mee?